Akıllı telefonunuz bir proxy ağının parçası olabilir ve siz bunu bilmiyor olabilirsiniz: Geliştiricilerin bu işlevi dahil ettiği ve bundan bahsetmediği uygulamaları indirmeniz yeterlidir.
Kulağa o kadar da kötü gelmiyorsa, bir konut proxy ağının parçası olmanın, cihazınızın bir tehdit aktörünün kurbanın ortamına erişmeden önceki trafiğinin “son mili” olabileceği anlamına geldiğini bilmelisiniz.
Akıllı telefonları proxy ağlarına bağlayan uygulamalar her yerde
Mobil uygulama indirmek çoğumuzun düzenli olarak yaptığı bir şeydir, ancak yalnızca güvenlik konusunda bilgili kullanıcılar bu basit eylemin birçok risk taşıdığını bilir.
tarafından yakın zamanda yayımlanan bir araştırmaya göre İnsan güvenliğiSatori Tehdit İstihbaratı ekibi, Google araştırmacılarının, cihazları reklam sahtekarlığı için kullanılan bir proxy ağının parçası haline getirmesi nedeniyle Play Store'dan tek bir ücretsiz VPN uygulamasını kaldırmasının daha yaygın bir sorunu ortaya çıkardığını ortaya çıkardı: proxy düğüm kaydından sorumlu kütüphane, daha sonra çok daha fazla uygulamanın yanı sıra bir mobil yazılım geliştirme kitinde (SDK) bulundu.
“Orijinal PROXYLIB kütüphanesi ile LumiApps SDK'ya gömülü olan kütüphane, dosya adları ve kod yapısı da dahil olmak üzere oldukça benzer, bu da LumiApps SDK ile orijinal kütüphanenin muhtemelen aynı tehdit aktörü tarafından oluşturulduğunu gösteriyor. Ekip Help Net Security'ye, PROXYLIB ile LumiApps'teki kod ve LumiApps'in sonraki sürümleri arasındaki kodda yapılan bazı artımlı değişikliklere dayanarak, LumiApps'in orijinal kitaplığın 'daha yeni' bir sürümü olduğuna inanıyoruz” dedi.
“LumiApps SDK, herkesin uygulamalarına dahil etmesi için ücretsiz olarak sunuluyor ve reklamlara başvurmadan uygulamanızdan para kazanmanın bir yolu olarak bunun reklamını yapıyorlar. Bir geliştirici, uygulamasından para kazanmak isterse kesinlikle LumiApps kullanmayı düşünebilir ve kodun arka planda ne yaptığından habersiz olabilir, kullanıcının cihazını kullanıcının bilgisi olmadan bir konut proxy ağında bir düğüm olarak kaydedebilir. SDK, LumiApps web sitesinde ücretsiz olarak mevcut olduğundan ve hem dark web'de hem de sosyal medya sitelerinde tanıtıldığından, bir hesaba kayıt olan herkes bunu uygulamalarına dahil edebilir.”
LumiApps'in gizlilik politikası, cihazların LumiApps ağlarının bir parçası olduğundan bahsetse de, uygulama geliştiricileri SDF'yi kullanmaya başlamadan önce bunu okumayabilir. Veya biliyor olabilirler ve umursamıyor olabilirler. Ancak son kullanıcıların (uygulama kullanıcılarının) tüm bunların arka planda gerçekleştiğini bilmesi pek olası değildir.
Araştırmacılar ayrıca tehdit aktörünün PROXYLIB ağından para kazanmanın bir yolu olarak konut proxy satıcısı olan Asocks'u kullandığını söylüyor.
“Asocks web sitesi, konut vekillerinin nasıl elde edildiğine dair hiçbir bilgi vermiyor. Hizmet Şartları'nın bir cümlesinde proxy hizmetinin tanımı olarak yorumlanabilecek bir cümleye atıfta bulunuluyor” dedi.
“Bir kullanıcı lumiapps'ta bir hesap açtığında[.]io, onay e-postasındaki başlıklar bproxy alan adını içerir[.]artık erişilebilir bir web sayfası olmayan bir tanesi. Ancak arşivde bu alan adını ararken[.]org'a göre, 23 Şubat 2023 gibi yakın bir tarihte Asocks web sitesinin stilize edilmemiş bir sürümü mevcuttu. Sonuç olarak Satori araştırmacıları, iki hizmetin birbiriyle bağlantılı olduğuna ve potansiyel olarak aynı tehdit aktörüne ait olduğuna veya aynı tehdit aktörü tarafından işletildiğine oldukça güveniyor.”
Konut vekil pazarı
Üçüncü taraf yazılımları yükleyen yanıltıcı kullanıcılar, genellikle bilgisayarlar, akıllı telefonlar ve IoT cihazlarından oluşan konut proxy ağlarının büyüme yollarından yalnızca biridir.
Bazı kullanıcılar, cihazlarını bu ağlara kaydettirmek ve ödeme karşılığında bant genişliklerini değiştirmek için gönüllü olarak proxy yazılımı yükler. Ayrıca, güvenliği ihlal edilmiş kullanıcı cihazlarına gizlice proxy yazılımı yükleyen saldırganlar da var.
Elbette, konut proxy ağları yasadışı olmayan amaçlar için kullanılabilir: örneğin reklamverenler bunları IP coğrafi konumuna bağlı olarak hangi reklamların oynatıldığını kontrol etmek için kullanabilir ve aynı çevrimiçi hizmete birden fazla hesap kaydetmek için de kullanılabilirler.
Ancak yakın zamanda yayınlanan bir raporda Sekoia.io Ve Turuncu Siber SavunmaAraştırmacılar, saldırgan gruplar tarafından meşru trafik arasında saklanmak, şifre püskürtme ve kaba kuvvet saldırıları, kimlik avı kampanyaları, DDoS saldırıları ve daha fazlasını gerçekleştirmek için sıklıkla kullanılan konut proxy'lerinin siber uzayda büyüyen bir tehdit oluşturduğuna dikkat çekti.
Ayrıca, konut vekil satıcılarının oldukça şeffaf olmayan pazarını da analiz ettiler ve sağlayıcıların çoğunun “ya kendi ülkelerinde resmi bir tüzel kişilik olarak kayıtlı olmadıklarını ya da konuyla ilgili katı mevzuatları olmayan bir ülkede yalnızca 'posta kutusu' ofislerine sahip olduklarını keşfettiler ( örneğin Britanya Virjin Adaları).”
Bazı sağlayıcıların web siteleri bile yok ve hizmetlerini doğrudan Telegram aracılığıyla satmayı tercih ediyorlar.
Ayrıca, sağlayıcıların çoğu, proxy'lerin yasal amaçlarla kullanıldığından emin olmak için hesap alırken müşterinin kimliğini belirlemez ve doğrulamaz. Bunun yerine, Hizmet Koşullarında “müşterilerin kiralanan proxy'lerle gerçekleştirilen faaliyetlerden sorumlu olduğunu ve geçerli tüm yasalara uymaları gerektiğini” belirterek kendilerini “gizliyorlar”.
Bazıları, ağlarına eklenen proxy'leri “etik olarak kaynak” olarak kullandıklarını iddia ediyor, ancak bu iddia için doğrulanabilir bir kanıt sunmuyorlar.
Son olarak araştırmacılar, pazarın parçalanmasının yanıltıcı olduğuna dair kanıtlar buldular: “Bazıları görünüşte farklı [residential proxy providers] aslında aynı tüzel kişiliğe ait olmak, sunucu altyapılarının tutarlı bir bölümünü paylaşmak veya ortak kripto para kanallarını kullanmak yoluyla birbirine yakından bağlı olabilirler.”
Tüketiciler ve kurumsal savunucular ne yapabilir?
Akıllı telefon kullanıcıları, ister birinci taraf (örneğin Google Play) ister üçüncü taraf olsun, çevrimiçi mağazalardan uygulama indirirken dikkatli olmalıdır.
Satori'nin Google Play'de PROXYLIB kitaplığını taşıyan 28 (çoğunlukla “ücretsiz VPN”) uygulamayı keşfetmesinin ardından Google bunları kaldırdı. (Bu arada Google, yakın zamanda Google Play'de bağımsız olarak doğrulanan VPN uygulamalarını da işaretlemeye başladı.)
Google Play Hizmetlerine sahip Android cihazlarda varsayılan olarak açık olan Google Play Koruma, bu tür uygulamaları devre dışı bırakarak kullanıcıları otomatik olarak korur ve kullanıcılara uyarı vererek bunları kaldırmak isteyip istemediklerini sorar.
Satori araştırmacıları Help Net Security'ye şunları söyledi: “LumiApps SDK'yı içerdiğini tespit ettiğimiz uygulamaların çoğu Google Play Store'da mevcut değildi ve HUMAN tarafından 'mod' gibi davranarak üçüncü taraf çevrimiçi depolarda ortaya çıkarıldı.”
Ayrıca, Google Play Korumanın kullanıcıları uyarabileceğini veya kötü amaçlı davranış sergilediği bilinen uygulamaları, bu uygulamalar Google Play dışındaki kaynaklardan gelse bile engelleyebileceğini de belirttiler.
“HUMAN, PROXYLIB'in etkisini azaltmak için Google Play Store ve diğer kuruluşlarla yakın işbirliği içinde çalışmaya devam ediyor” diye eklediler.
Sekoia.io ve Orange Cyberdefense'in internet kullanıcılarına ve kurumsal savunuculara ek tavsiyeleri var.
İlki, proxy yazılımını (hatta kötü amaçlı yazılımları) bir araya getirebilecek ücretsiz programlar yüklemekten kaçınmalı, ancak bunu yapmamayı seçerlerse şunları yapmalıdır:
- Yükledikleri herhangi bir uygulamanın Hizmet Şartlarını okuyun ve proxy özelliğini devre dışı bırakın (mümkünse)
- Resmi uygulama mağazalarının dışından crackli yazılım ve programlar indirmekten kaçının
“Kurumsal bir ağda proxy yazılımı çalıştırmanın riskleri nedeniyle, yani yönetilen bir cihazda onaylanmamış bir yazılımın yüklü olması nedeniyle, kuruluşlar proxy yazılımının kurulumunu önleyici olarak yasaklamalıdır (uygulamanın kara/beyaz listeye alınması, kullanıcı hakları kısıtlaması, dahili güvenlik duvarı/ACL kuralları vb. yoluyla). .),” diye tavsiyede bulundu araştırmacılar.
“Ağlarında halihazırda yüklü olan proxy yazılımlarını (veya bu tür programları yüklemeye çalışan kişileri) tanımlamak isteyenler, şüpheli trafik davranışları için algılama stratejilerini yapılandırmanın yanı sıra, düzenli olarak bilinen belirli IOC'lerin varlığını da araştırmalıdır.”